網絡抓包工具–wireshark

一.wireshark介紹

Wireshark（前稱Ethereal）是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包，并盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口，直接與網卡進行數據報文交換。
此工具支持多種網絡接口類型，捕捉多種網絡接口類型的包。

wireshark是一款開源的軟件，請自行到網站下載。
下載地址：
https://www.wireshark.org/download/

二.wireshark使用方法

1.打開界面

2.選擇抓包接口

注意：工具使用時，部分使用者可能會遇到找不到wifi的無線網卡，原因是因為沒有打開npf服務，可以嘗試打開cmd窗口，執行net start npf，關閉wireshark后重新打開即可。

3.包摘要信息
No. 包的編號，編號不會發生改變，即使進行了過濾也同樣如此

Time 包的時間戳。包時間戳的格式可以自行設置

Source 顯示包的源地址。

Destination 顯示包的目標地址。

Protocal 顯示包的協議類型的簡寫

Info 包內容的附加信息

注：打開抓包工具，瀏覽csdn網站，查看抓包內容
如圖

包詳情（中包的協議及協議字段，協議及字段以樹狀方式組織。你可以展開或折疊它們），包字節（通常在16進制轉儲形式中，左側顯示包數據偏移量，中間欄以16進制表示，右側顯示為對應的ASCII字符根據包數據的不同）

捕獲/選項 更改捕捉的網絡接口

4.過濾包
a.ip過濾
過濾出源ip和目標ip的包：ip.addr == 47.95.164.112
如圖：

過濾源ip：ip.src == 47.95.164.112

過濾目標ip ：ip.dst == 47.95.164.112

b.端口過濾
過濾tcp端口80的包（包括源和目標）tcp.port == 443

過濾tcp源端口：tcp.srcport == 80

過濾tcp目標端口 : tcp.dstport == 443

過濾端口區間：tcp.port >= 443 && tcp.port < 1000

c.協議過濾
直接填寫需要過濾的協議即可

d.包長度過濾
udp.length == 26 這個長度是指udp本身固定長度8加上udp下面那塊數據包之和

tcp.len >= 7 指的是ip數據包(tcp下面那塊數據),不包括tcp本身

ip.len == 94 除了以太網頭固定長度14,其它都算是ip.len,即從ip本身到最后

frame.len == 119 整個數據包長度,從eth開始到最后

d.http模式過濾
http.request.method == “POST”

http.request.method == “GET”

http.request.uri == “/img/logo-edu.gif”

http contains “GET”

http contains “HTTP/1.”

e.tcp參數過濾
tcp.flags 顯示包含TCP標志的封包

tcp.flags.syn == 0x02 顯示包含TCP SYN標志的封包

tcp.window_size == 0 && tcp.flags.reset != 1

上述過濾方法可以通過與或隨機組合過濾。

本文簡單介紹下wireshark的基本內容和常見使用方法，如需詳細了解此軟件，請瀏覽wireshark的用戶手冊
http://man.lupaworld.com/content/network/wireshark/index.html

總結

以上是生活随笔為你收集整理的网络抓包工具--wireshark的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。